Patchday: SAP schließt fünf Sicherheitslücken
Im August veröffentlicht SAP Meldungen zu fünf neu entdeckten Sicherheitslücken. Zudem aktualisiert der Hersteller zwei ältere Berichte zu Schwachstellen.
(Bild: heise online)
Der August-Patchday von SAP bedeutet für Administratoren vergleichweise geringen Aufwand, da der Hersteller lediglich fünf Meldungen zu Sicherheitslücken in den Business-Produkten veröffentlicht hat. Zudem gab es Aktualisierungen von zwei älteren Fehlerberichten.
Verwundbare SAP-Produkte
Die schwerwiegendste Schwachstelle betrifft SAP BusinessObjects Business Intelligence Platform (Open Document). Angreifer könnten unbefugt an Informationen gelangen (CVE-2022-32245, CVSS 8.2, Risiko "hoch"). Weitere Schwachstellen ermöglichen den Informationsabfluss im SAP Authenticator for Android (CVE-2022-35290, CVSS 5.3, mittel), SAP BusinessObjects Business Intelligence Platform (MonitoringDB) (CVE-2022-31596, CVSS 5.2, mittel) sowie in SAP BusinessObjects Business Intelligence Platform (CommentaryDB) (CVE-2022-32244, CVSS 5.2, mittel).
Zudem gibt es im SAP Enable Now Manager eine fehlende Autorisierungsprüfung (CVE-2022-35293, CVSS 4.2, mittel). Die aktualisierten Fehlermeldungen betreffen einerseits den mitgelieferten Google Chrome-Browser beim SAP Business Client sowie möglichen Umgehungen von Laufzeit-Prüfungen von inBC-MID-RFC in SAP Netweaver.
Nähere Details nennt SAP in der Patchday-Meldung wie üblich nicht. SAP-Administratoren können mit ihrem Zugang jedoch an die Downloads der aktualisierten Software sowie die detaillierten Fehlerberichte gelangen, die in der Patchday-Meldung verlinkt sind.
Die bereitgestellten Aktualisierungen sollten Administratoren im nächsten geplanten Wartungszeitraum installieren, um die Angriffsfläche zu minimieren. Anders als im Juli sollte das jedoch zügig gelingen – da waren noch 20 Sicherheitslücken in SAP-Produkten abzudichten.
(dmk)
